Au cadre en recherche de ISE Labs i propos des applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons comment un attaquant va contourner le paiement pour acceder a quelques des fonctionnalites premium de Bumble Boost. Si i§a ne parait jamais assez interessant, decouvrez comment un attaquant est en mesure de vider toute la base d’utilisateurs de Bumble avec des informations utilisateur d’origine et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – les images fantomes seront definitivement une chose.
Mises a jour – Au 1er novembre 2020, l’ensemble des attaques mentionnees dans ce blog fonctionnaient i chaque fois. Lors du nouveau test des problemes suivants le 11 novembre 2020, Quelques problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a mis a jour son schema de chiffrement precedent. Cela signifie qu’un attaquant ne peut plus vider la base d’utilisateurs entiere de Bumble avec l’attaque tel decrit ici. J’ai exige d’API ne fournit plus la distance en miles – le suivi de l’emplacement par triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de ce point de terminaison. Un attaquant va i chaque fois utiliser le point de terminaison Afin de obtenir des precisions telles que des likes Facebook, des photos et d’autres informations de profil telles que des complexes d’interet concernant des rencontres. Ca fonctionne toujours Afin de un utilisateur verrouille non valide, de fai§on qu’un attaquant peut creer un nombre illimite de faux comptes pour vider nos donnees utilisateur. Cependant, les attaquants ne vont pas pouvoir le faire que Afin de les identifiants chiffres qu’ils possedent deja (qui seront mis a disposition des individus amis de vous). Cela reste probable que Bumble corrigera egalement ce probleme au sein des prochains jours. Les attaques contre le contournement du paiement pour les autres fonctionnalites premium de Bumble fonctionnent i chaque fois.
API REST de retro-ingenierie
Les developpeurs utilisent nos API REST pour dicter la maniere dont les diverses parties d’une application communiquent entre elles et vont pouvoir etre configurees Afin de permettre a toutes les applications cote client d’acceder a toutes les precisions des serveurs internes et d’effectuer des actions. Par exemple, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces aux photos des utilisateurs, se produisent via des requi?tes a l’API de Bumble.
Comme des appels REST sont sans etat, c’est important que chaque point de terminaison verifie si l’emetteur en demande est autorise a effectuer une action donnee. De surcroit, meme si les applications cote client n’envoient normalement pas de requetes dangereuses, nos attaquants peuvent automatiser et manipuler des appels d’API pour effectuer des actions involontaires et recuperer des informations non autorisees. Ca explique certaines des failles potentielles de l’API de Bumble impliquant une exposition excessive aux precisions et un manque de limitation de debit.
Du fait que l’API de Bumble n’est pas documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API Afin de comprendre comment le systeme traite les precisions des utilisateurs et les demandes cote client, d’autant plus que une objectif final reste de declencher des fuites de donnees involontaires.
Normalement, la premiere etape consiste a intercepter nos requetes HTTP envoyees avec l’application mobile Bumble. Cependant, tel Bumble a une application Web et partage le meme schema d’API que l’application mobile, nous allons prendre la voie la plus facile et intercepter toutes les requi?tes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Mes services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement Afin de les fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre l’integralite des utilisateurs actifs de Bumble, leurs interets, le type de gens qui shaadi match les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite sur le nombre de balayages a droite (votes) que vous pouvez utiliser pendant la journee. Une fois que des utilisateurs ont atteint leur limite de balayage quotidienne (environ 100 balayages a droite), ils doivent patienter 24 heures pour que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Mes votes sont traites a l’aide de la demande suivante via l‘ SERVER_ENCOUNTERS_VOTE action de l‘ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a gui?re vote.
- „Vote“: 2 – L’utilisateur a glisse a droite concernant l’utilisateur avec le person_id
- „Vote“: 3 – L’utilisateur a glisse par la gauche via l’utilisateur avec le person_id